Касперський попереджає нові криптовалютні зловмисні програми краде насіннєві фрази з екрана з iOS та Android

Дослідники Касперського відкрили нову мобільну зловмисну ​​кампанію під назвою «Іскра“Це успішно проникло як App Store Appl, так і Google Play, зокрема, орієнтуючись на скріншоти криптовалютного гаманця насіннєва фраза зберігаються у фотогалереях користувачів.

Зловмисне програмне забезпеченнящо розвивається з попередньо ідентифікованої кампанії Sparkcat, використовує технологію оптичного розпізнавання символів (OCR) для сканування та екзфільтратних зображень, що містять чутливу інформацію про криптовалюту з пристроїв iOS та Android.

Кампанія, яка була активною з принаймні лютого 2024 року, в першу чергу націлила на користувачів у Південно -Східній Азії та Китаї через заражені програми, замасковані під моди Tiktok, криптовалюти, відстежувачі портфоліо, ігри в ігрові ігри та додатки для вмісту для дорослих, які вимагають доступу до фотогалереї під час, здавалося б, законними приводами.

Джерело: Касперський

Ці кіберзлочинці успішно обходили офіційні заходи безпеки App Store для розгортання заражених додатків, які виявилися законними для автоматизованого скринінгу та рецензентів людини.

Два видатних прикладів включають трекер гаманця Soex, який маскується як додаток для управління портфоліо і був завантажений понад 5000 разів з Google Play, та Coin Wallet Pro, який продавав себе як безпечний мультифабричний гаманець, перш ніж просуватися через рекламу соціальних медіа та канали Telegram.

Касперський попереджає нові криптовалютні зловмисні програми краде насіннєві фрази з екрана з iOS та Android
Джерело: Касперський

Як крадіжок насіннєвого фрази Sparkkitty ухилявся від виявлення iOS та Android

На пристроях iOS, зловмисне програмне забезпечення, як правило, маскується як модифіковані версії популярних рамок, таких як Afnetworking або Alamofire, використовуючи систему профілю надання Apple Apple, яка дозволяє організаціям розповсюджувати внутрішні програми без затвердження магазину додатків.

Незважаючи на те, що законні для корпоративного використання, ці підприємницькі профілі забезпечили кіберзлочинці шляхом встановлення непідписаних додатків, які могли обійти стандартні процеси скринінгу Apple.

Насправді вони йдуть настільки, щоб створити модифіковані версії законних бібліотек з відкритим кодом, які зберігають оригінальну функціональність, додаючи зловмисні можливості.

Наприклад, пошкоджена рамка AfnetWorking, наприклад, підтримувала свої оригінальні мережеві можливості, в той час як таємно включивши функціональні можливості фото-крадіжки через прихований клас Afimagedownloadertool, який активовався під час завантаження додатків за допомогою механізму автоматичного навантаження Metudy-C.

Такий підхід дозволив зловмисному програмному забезпеченні залишатися в спокої до тих пір, поки не будуть дотримані конкретні умови, наприклад, користувачі, які переходять на підтримку екранів чату, де запити на доступ до фотографій виглядатимуть природними та менш підозрілими.

На платформах Android зловмисне програмне забезпечення використовувало однаково складні методи розповсюдження, вбудовуючи шкідливий код безпосередньо в точки введення додатків, використовуючи законні теми криптовалюти для залучення цільових жертв.

Технологія OCR перетворює фотографії на цифрову золоту шахту

Найнебезпечніша особливість Sparkkitty-це його складна технологія розпізнавання оптичних персонажів, яка автоматично визначає та витягує криптовалюту з фотогалереї жертв, не вимагаючи від зловмисників переглядати їх вручну.

На відміну від попереднього мобільного зловмисного програмного забезпечення, яке покладається на крадіжку оптових фотографій та ручного аналізу, Sparkkitty використовує інтеграцію бібліотеки набору Google ML (машинне навчання), щоб сканувати зображення текстових шаблонів. Він спеціально шукає насіннєві фрази, приватні ключі та адреси гаманця, які користувачі зазвичай екранують для резервних цілей, незважаючи на рекомендації щодо безпеки проти таких практик.

Як пояснив Касперський, реалізація зловмисного програмного забезпечення демонструє розширені можливості розпізнавання шаблонів. Він автоматично фільтрує зображення на основі текстового вмісту та надсилає лише ті, що містять криптовалютну інформацію на сервери команд та контролю.

Система шукає конкретні текстові блоки, що містять мінімальні підрахунки слів та вимоги до символів, ефективно розрізняючи випадкові фотографії та потенційно цінну фінансову інформацію.

Цей цільовий підхід зменшує вимоги передачі даних, одночасно максимізуючи значення викраденої інформації, що дозволяє зловмисникам більш ефективно обробляти більші пули жертв.

Пов’язані кампанії, виявлені під час розслідування Касперського, виявили ще більш досконалі реалізації, включаючи версії, спрямовані на процедури резервного копіювання, показуючи підроблені попередження про безпеку, що вказують користувачам “створити резервну копію ключа гаманця в налаштуваннях протягом 12 годин” або ризикувати втратити доступ до своїх гаманців.

Ці соціальна інженерія Обкладинки керують жертвами через доступ до своїх насіннєвих фраз, що дозволяє реєстратору доступності зловмисного програмного забезпечення безпосередньо знімати інформацію, а не покладатися виключно на існуючі скріншоти.

Більш широкі наслідки виходять за рамки індивідуальних крадіжок, включаючи систематичні операції з видобутку криптовалют, про що свідчать пов’язані кампанії, такі як Аптантна група бібліотекарів, яка поєднує в собі крадіжку довіри з несанкціонованим видобутком Monero на компрометованих пристроях.

Ці напади подвійного призначення створюють постійні потоки доходів для кіберзлочинців, які крадуть існуючі криптовалюти та використовують обчислювальні ресурси жертв, щоб видобувати додаткові цифрові активи. Таким чином, компрометовані пристрої ефективно стають інфраструктурою, що отримує прибуток, протягом тривалого періоду.

Пост Касперський попереджає нові криптовалютні зловмисні програми краде насіннєві фрази з екрана з iOS та Android з’явився першим на Cryptonews.

Можливо вам буде цікаво

НАПИСАТИ ВІДПОВІДЬ

введіть свій коментар!
введіть тут своє ім'я

Останні новини